Fenyegetéselemzés elemzése

  • 3 perc

A fenyegetéselemzés a Microsoft szakértő biztonsági kutatóinak fenyegetésfelderítési megoldása. Úgy tervezték, hogy segítse a biztonsági csapatokat, hogy a lehető leghatékonyabbak legyenek a felmerülő fenyegetések, például:

  • Aktív veszélyforrás-szereplők és kampányaik
  • Népszerű és új támadási technikák
  • Kritikus biztonsági rések
  • Gyakori támadási felületek
  • Elterjedt kártevők

A fenyegetéselemzést a Microsoft Defender biztonsági portál navigációs menüjének bal felső sarkában érheti el a Fenyegetésintelligencia kibontásával, vagy egy dedikált Fenyegetéselemzési irányítópult-kártyáról, amely a szervezetet fenyegető fenyegetéseket jeleníti meg mind a hatás, mind az expozíció szempontjából.

Képernyőkép a Threat Analytics irányítópultjáról.

A nagy hatású fenyegetések a legnagyobb veszélyforrást okozzák, míg a magas expozíciós fenyegetések azok, amelyekkel az eszközei a leginkább sebezhetők. Az aktív vagy folyamatban lévő kampányok láthatósága és a fenyegetéselemzéssel végzett teendők ismerete segíthet a biztonsági üzemeltetési csapat tájékozott döntések meghozatalában.

A kifinomultabb támadók és az új fenyegetések gyakran és elterjedten jelennek meg, kritikus fontosságú, hogy gyorsan képes legyen:

  • A felmerülő fenyegetések azonosítása és az azokra való reagálás
  • Megtudhatja, hogy jelenleg támadás alatt áll-e
  • Az eszközökre gyakorolt fenyegetés hatásának felmérése
  • A fenyegetések elleni vagy az azokkal szembeni ellenálló képesség áttekintése
  • Azonosítsa azokat a kockázatcsökkentési, helyreállítási vagy megelőzési műveleteket, amelyeket a fenyegetések leállításához vagy megfékezéséhez végezhet

Minden jelentés egy nyomon követett fenyegetés elemzését és átfogó útmutatást nyújt a fenyegetés elleni védekezéshez. Emellett a hálózatból származó adatokat is tartalmaz, jelezve, hogy a fenyegetés aktív-e, és hogy rendelkezik-e megfelelő védelemmel.

A fenyegetéselemzési irányítópult megtekintése

A fenyegetéselemzési irányítópult kiemeli a szervezet szempontjából legrelevánsabb jelentéseket. A fenyegetéseket a következő szakaszokban foglalja össze:

  • Legújabb fenyegetések – felsorolja a legutóbb közzétett vagy frissített fenyegetésjelentéseket, valamint az aktív és megoldott riasztások számát.
  • A nagy hatású fenyegetések – azokat a fenyegetéseket sorolja fel, amelyek a legnagyobb hatással vannak a szervezetre. Ez a szakasz a legtöbb aktív és megoldott riasztást tartalmazó fenyegetéseket sorolja fel először.
  • A legmagasabb expozíció – elsőként a legmagasabb expozíciós szinttel rendelkező fenyegetéseket sorolja fel. a fenyegetések expozíciós szintjét két információ alapján számítjuk ki: milyen súlyosak a fenyegetéssel kapcsolatos biztonsági rések, és hogy a szervezet hány eszközét használhatják ki ezek a biztonsági rések.

Ha kiválaszt egy fenyegetést az irányítópultról, az megtekinti a fenyegetésről készült jelentést.

Fenyegetéselemzési jelentés megtekintése. Minden fenyegetéselemzési jelentés több szakaszban nyújt információt:

  • Áttekintés
  • Elemzői jelentés
  • Kapcsolódó incidensek
  • Érintett eszközök
  • Letiltott e-mail-kísérletek
  • Expozíciós és kockázatcsökkentési megoldások

Áttekintés: A fenyegetés gyors megismerése, hatásának felmérése és a védelem áttekintése

Az Áttekintés szakasz a részletes elemzői jelentés előnézetét tartalmazza. Emellett olyan diagramokat is tartalmaz, amelyek kiemelik a szervezetet fenyegető veszély hatását, valamint a helytelenül konfigurált és nem csomagolt eszközökön keresztüli kitettségét.

A szervezetre gyakorolt hatás felmérése

Minden jelentés tartalmaz olyan diagramokat, amelyek a fenyegetések szervezeti hatásával kapcsolatos információkat nyújtanak:

  • Kapcsolódó incidensek – áttekintést nyújt a nyomon követett fenyegetés szervezetre gyakorolt hatásáról az aktív riasztások számával, valamint az aktív incidensekkel társított aktív incidensek számával és súlyosságával
  • Riasztások idővel – a kapcsolódó aktív és megoldott riasztások számát jeleníti meg az idő függvényében. A megoldott riasztások száma azt jelzi, hogy a szervezet milyen gyorsan válaszol a fenyegetéssel kapcsolatos riasztásokra. Ideális esetben a diagramon néhány napon belül feloldott riasztásoknak kell megjelennie.
  • Érintett eszközök – azoknak a különböző eszközöknek és e-mail fiókoknak (postaládáknak) a számát mutatja, amelyek jelenleg legalább egy aktív riasztással rendelkeznek a nyomon követett fenyegetéshez társítva. Riasztások aktiválódnak a fenyegetést tartalmazó e-maileket kapott postaládák esetében. Tekintse át mind a szervezeti, mind a felhasználói szintű szabályzatokat a fenyegetést okozó e-mailek kézbesítését okozó felülbírálások esetében.
  • Letiltott e-mail-kísérletek – az elmúlt hét napban letiltott e-mailek száma a kézbesítés előtt vagy a levélszemét mappába kézbesítve.

A biztonsági rugalmasság és a helyzet áttekintése

Minden jelentés tartalmaz diagramokat, amelyek áttekintést nyújtanak arról, hogy szervezete mennyire rugalmas egy adott fenyegetéssel szemben:

  • A biztonságos konfiguráció állapota – a helytelenül konfigurált biztonsági beállításokat tartalmazó eszközök számát jeleníti meg. Alkalmazza az ajánlott biztonsági beállításokat a fenyegetés elhárításához. Az eszközök akkor minősülnek biztonságosnak, ha az összes követett beállítást alkalmazták.
  • A sebezhetőségi javítás állapota – a sebezhető eszközök számát mutatja. Biztonsági frissítések vagy javítások alkalmazása a fenyegetés által kihasznált biztonsági rések kezelésére.

Jelentések megtekintése fenyegetéscímkék szerint

Szűrheti a fenyegetésjelentések listáját, és megtekintheti a legrelevánsabb jelentéseket egy adott fenyegetéscímke (kategória) vagy jelentéstípus szerint.

  • Fenyegetéscímkék – segítséget nyújtanak a legrelevánsabb jelentések megtekintésében egy adott fenyegetéskategória szerint. Például az összes ransomware-hez kapcsolódó jelentés.
  • Jelentéstípusok – segítséget nyújtanak a legrelevánsabb jelentések megtekintésében egy adott jelentéstípusnak megfelelően. Például minden olyan jelentés, amely eszközöket és technikákat fed le.
  • Szűrők – segít hatékonyan áttekinteni a fenyegetésjelentések listáját, és szűrni a nézetet egy adott fenyegetéscímke vagy jelentéstípus alapján. Tekintse át például a ransomware kategóriához kapcsolódó összes fenyegetésjelentést, vagy a biztonsági réseket lefedő fenyegetésjelentéseket.

Hogyan működik?

A Microsoft Threat Intelligence csapata fenyegetéscímkéket adott hozzá minden fenyegetésjelentéshez:

Négy fenyegetéscímke érhető el:

  • Zsarolóprogramok
  • Adathalászat
  • Biztonsági rés
  • Tevékenységcsoport

A fenyegetéscímkék a fenyegetéselemzési oldal tetején jelennek meg. Az egyes címkék alatt található elérhető jelentések száma számlálók.

Elemzői jelentés: Szakértői megállapítások lekérése a Microsoft biztonsági kutatóitól

Az Elemzési jelentés szakaszban olvassa el a részletes szakértői felírást. A legtöbb jelentés részletes leírást nyújt a támadási láncokról, beleértve a MITRE ATT&CK-keretrendszerre leképezett taktikákat és technikákat, a javaslatok teljes listáját és a hatékony fenyegetéskeresési útmutatást.

A Kapcsolódó incidensek lap a nyomon követett fenyegetéshez kapcsolódó összes incidens listáját tartalmazza. Hozzárendelhet incidenseket, vagy kezelheti az egyes incidensekhez kapcsolódó riasztásokat.

Érintett eszközök: Az érintett eszközök és postaládák listájának lekérése

Az eszköz akkor minősül érintettnek, ha egy aktív, megoldatlan riasztás érinti. Az Érintett eszközök lap az érintett eszközök alábbi típusait sorolja fel:

  • Érintett eszközök – a nem megoldott Végponthoz készült Microsoft Defender riasztásokkal rendelkező végpontok. Ezek a riasztások általában az ismert fenyegetésjelzők és tevékenységek észlelése esetén aktiválnak.

  • Érintett postaládák – olyan postaládák, amelyek Office 365-höz készült Microsoft Defender riasztásokat aktiváló e-maileket kaptak. Bár a riasztásokat kiváltó üzenetek többsége általában le van tiltva, a felhasználói vagy szervezeti szintű szabályzatok felülbírálhatják a szűrőket.

Letiltott e-mail-kísérletek: Letiltott vagy levélszemétként küldött e-mailek megtekintése

Office 365-höz készült Microsoft Defender általában letiltja az ismert fenyegetésjelzőkkel rendelkező e-maileket, beleértve a rosszindulatú hivatkozásokat vagy mellékleteket. Bizonyos esetekben a gyanús tartalmakat ellenőrző proaktív szűrési mechanizmusok ehelyett fenyegetési e-maileket küldenek a levélszemét mappába. Mindkét esetben csökken annak az esélye, hogy a fenyegetés kártevő kódot indít az eszközön.

A Letiltott e-mail kísérletek lap felsorolja azokat az e-maileket, amelyeket a kézbesítés előtt blokkolt, vagy amelyeket a Microsoft Defender for Office küldött a levélszemét mappába.

Expozíció és kockázatcsökkentések: A kockázatcsökkentések listájának és az eszközök állapotának áttekintése

Az Expozíció és kockázatcsökkentések szakaszban tekintse át azoknak a konkrét végrehajtható javaslatoknak a listáját, amelyek segíthetnek a szervezet fenyegetésekkel szembeni ellenálló képességének növelésében. A nyomon követett kockázatcsökkentések listája a következőket tartalmazza:

  • Biztonsági frissítések – támogatott szoftverbiztonsági frissítések üzembe helyezése az előkészített eszközökön található biztonsági résekhez
  • Támogatott biztonsági konfigurációk
    • Felhőben nyújtott védelem
    • Potenciálisan nemkívánatos alkalmazásvédelem (PUA)
    • Valós idejű védelem

Az ebben a szakaszban található kárenyhítési információk Veszélyforrás- és biztonságirés-kezelés adatait tartalmazzák, amely részletes részletezési információkat is tartalmaz a jelentés különböző hivatkozásaiból.

E-mail-értesítések beállítása jelentésfrissítésekhez

Beállíthatja azokat az e-mail-értesítéseket, amelyek frissítéseket küldenek Önnek a fenyegetéselemzési jelentésekben.

Ha e-mail-értesítéseket szeretne beállítani a fenyegetéselemzési jelentésekhez, hajtsa végre a következő lépéseket:

  1. Válassza a Beállítások lehetőséget a Microsoft Defender XDR oldalsávon. Válassza ki a Microsoft Defender XDR-t a beállítások listájából.

  2. Válassza az E-mail-értesítések > fenyegetéselemzése lehetőséget, és válassza a gombot, + Hozzon létre egy értesítési szabályt. Megjelenik egy úszó ablak.

  3. Kövesse az úszó panelen felsorolt lépéseket. Először adjon nevet az új szabálynak. A leírás mező nem kötelező, de névre van szükség. A szabályt be- vagy kikapcsolhatja a leírás mező alatti jelölőnégyzet bejelölésével.

    Feljegyzés

    Az új értesítési szabály név- és leírásmezői csak angol betűket és számokat fogadnak el. Nem fogadnak el szóközöket, kötőjeleket, aláhúzásjeleket vagy más írásjeleket.

  4. Adja meg, hogy milyen típusú jelentésekről szeretne értesítést kapni. Választhat, hogy az összes újonnan közzétett vagy frissített jelentésről frissít, vagy csak azokról a jelentésekről, amelyek rendelkeznek egy adott címkével vagy típussal.

  5. Adjon hozzá legalább egy címzettet az értesítési e-mailek fogadásához. Ezen a képernyőn egy teszt e-mail küldésével ellenőrizheti az értesítések fogadásának módját.

  1. Tekintse át az új szabályt. Ha van valami, amit módosítani szeretne, válassza a Szerkesztés gombot az egyes alszakaszok végén. A felülvizsgálat befejezése után válassza a Szabály létrehozása gombot.

Az új szabály létrehozása sikeresen megtörtént. A folyamat befejezéséhez és az úszó panel bezárásához kattintson a Kész gombra. Az új szabály ekkor megjelenik a Threat Analytics e-mail-értesítéseinek listájában.